Восстановление данных

Необходимость в восстановлении может возникнуть, когда носитель имеет аппаратные или программные повреждения, или же — когда файлы данных были лишь отмечены в качестве удалённых, но продолжают храниться до того, как будут перезаписаны.

Некоторые распространённые причины для необходимости восстановления данных представлены в таблице:

Существует два основных способа восстановления данных. Способ выбирается в зависимости от возникшей неисправности накопителя. Программно-аппаратный метод применяют в тех случаях, когда программный способ не даст результата.

Программный способ — это восстановление данных без физического вмешательства в устройство накопителя, а также в функционирование микропрограммы и структуру модулей служебной информации. Данный способ применяется в случаях, когда сохранена работоспособность самого накопителя, но по той или иной причине доступ к данным, хранящимся на нём, утрачен. Причиной этого может стать форматирование логических дисков, неудачное изменение логической геометрии накопителя, удаление информации, частичное, либо полное разрушение файловой системы, как информации о структуре размещения данных на накопителе. Зачастую в перечисленных случаях удаётся восстановить большую часть данных, однако встречаются случаи, когда восстановление утраченных данных невозможно (частным случаем можно считать перезапись данных). Для автоматизации процесса восстановления написано множество программ, в том числе и бесплатных.

В случае форматирования логического диска или раздела, структура и атрибуты данных не нарушаются, но изменяется либо инвентаризируется (приводится в начальное состояние) информация о расположении данных на данном накопителе.

При быстром форматировании обновляется малая часть файловой таблицы, часть служебных записей остаётся, необходимо лишь интерпретировать её и прочитать данные в нужном порядке.

Полное форматирование может обновить всю файловую таблицу, поэтому восстановление структуры файлов и папок не всегда возможно. Для восстановления данных без информации о структуре можно использовать восстановление файлов по сигнатурам.

Если произошло повреждение файловой системы в результате программного сбоя или неисправности носителя, программы для восстановления данных могут восстановить часть информации, зависящую от объёма повреждений.

При удалении данных, на самом деле, данные физически остаются на накопителе, однако в файловой системе более не отображаются, а место на носителе, где они располагаются, помечается как свободное и готовое к записи новой информации. В данном случае атрибуты файлов изменяются. В случае записи в данный раздел или логический диск может произойти частичное или полное замещение данных, помеченных, как удалённые.

Подобные файлы можно легко прочитать и восстановить со всеми атрибутами и информацией о расположении, прочитав служебные записи файловой системы. Существуют как программы только для восстановления удалённых данных, так и комплексные решения, где восстановление удалённых данных — лишь одна из функций.

Также существуют специальные программы — «шредеры», предназначенные для уничтожения данных^[6]. После правильного использования таких программ восстановление невозможно.

В случае, когда реконструкция файловой системы невозможна в силу каких-либо причин, некоторые файлы все ещё можно восстановить, используя восстановление по сигнатурам. При данном типе восстановления происходит посекторное сканирование накопителя на предмет наличия известных сигнатур файлов^[7].

Основной принцип работы алгоритмов сигнатурного поиска^[8] такой же, как у самых первых антивирусов. Как антивирус сканирует файл в поисках участков данных, совпадающих с известными фрагментами кода вирусов, так и алгоритмы сигнатурного поиска, использующиеся в программах для восстановления данных, считывают информацию с поверхности диска в надежде встретить знакомые участки данных. Заголовки многих типов файлов содержат характерные последовательности символов. К примеру, файлы в формате JPEG содержат последовательность символов «JFIF», архивы ZIP начинаются с символов «PK», а документы PDF начинаются с символов «%PDF-».

Некоторые файлы (к примеру, текстовые и HTML-файлы) не обладают характерными сигнатурами, но могут быть определены по косвенным признакам, так как содержат только символы из таблицы ASCII.

По результатам сканирования выдаётся, чаще всего, список файлов, отсортированных по типу. Информация о расположении файлов не восстанавливается.

Данный тип восстановления хорошо применять для восстановления фотографий с карт памяти, так как данные на карте однотипные и записываются, в общем случае, строго последовательно, без фрагментации.

Большинство программ позволяют применить одновременно несколько способов восстановления за одно сканирование. В результате выдаётся максимально возможный результат при использовании данной программы.

Восстановление из резервных копий

Самый надёжный, простой и дешёвый способ восстановления информации — восстановление информации из ранее сделанных резервных копий. Для создания резервных копий используется специализированное ПО, которое в том числе может выполнять восстановление данных.

Программно-аппаратный способ требуется при физическом повреждении накопителя. Здесь необходимо заострить внимание на типе накопителя: гибкий ли это магнитный диск (НГМД), жёсткий магнитный диск (НЖМД), флеш (накопитель NAND-Flash) или CD/DVD/BD. Рассмотрим основные типы носителей и их неисправности.

Основной неисправностью является так называемое «размагничивание».

Встречается чаще всего при прохождении магнитных детекторов в магазинах, метро, аэропортах. Восстановить данные удаётся только с не размагниченных областей накопителя. Также встречаются неисправности, связанные с физическим повреждением носителя, такими как царапины, сильное загрязнение. Каждый случай необходимо рассматривать индивидуально и только после этого прогнозировать результат восстановления информации.

Оптические накопители могут иметь разные причины невозможности чтения данных:

1. Механические
   • повреждение прозрачного слоя
   • повреждение отражающего слоя
2. Химические
   • разложение прозрачного слоя
   • разложение регистрируемого слоя (у записываемых дисков)
   • коррозия отражающего слоя
3. Нарушение организации данных
   • вследствие аппаратно-программных ошибок при записи данных
   • вследствие неправильных данных

Самыми частыми причинами нечитаемости дисков являются повреждение отражающего и прозрачного слоя, а также разложение регистрируемого слоя у записываемых дисков. В случае образования царапин на поверхности компакт-диска, возможно применить полирование рабочей поверхности, что приведёт к удалению нежелательных повреждений и улучшит чтение данных, однако при образовании трещин, использовать данный метод опасно, так как при последующем чтении диск может разрушиться в дисководе под действием центробежной силы. Повреждение фольгированного покрытия диска (старение металла, царапины) больше всего осложняет восстановление данных.

К данному типу накопителей можно отнести USB Flash, SSD-диски, карты памяти SD, miniSD, microSD, xD, MS, M2, Compact Flash.

Самые распространённые технические неисправности^[9]:

• Логические неисправности

Накопитель не имеет видимых физических повреждений и опознаётся в системе. Проблема возникает при попытке доступа или записи/считывания данных.

Возникают данные неисправности в самых различных случаях. Одна из самых распространённых причин — неправильное извлечение устройства из компьютера.

В случае логических неисправностей восстановить данные возможно с помощью программ для восстановления данных.

• Механические повреждения

Диск прекратил корректную работу в результате какого-либо физического воздействия (падения, попадания влаги, изгиба, сжатия). Причина неисправности, чаще всего, в поломке платы или разрушении контактов и компонентов.

Восстановить данные можно, если исправить поломку: заменить неисправный компонент или восстановить нарушенный контакт. Также можно считать данные напрямую с чипа памяти, используя специальное оборудование.

• Электрические повреждения

Причина электрических повреждений заключается в статическом ударе либо в проблеме с питанием. В результате могут сгореть стабилизаторы питания, диоды, контроллеры.

Восстановление данных производится как и в предыдущем случае: заменой компонентов либо чтением с чипов памяти напрямую.

На сегодняшний день эти накопители считаются самыми ёмкими и достаточно быстрыми, но очень уязвимыми для электрических и механических воздействий. При превышении напряжения питания, либо нестабильном напряжении может возникнуть тепловой пробой платы контроллера, а также пробой коммутатора-предусилителя внутри гермоблока. В первом случае выходит из строя плата контроллера жёсткого диска и процедура восстановления данных заканчивается на её замене с переносом адаптивных параметров неисправного накопителя на новую плату. Однако встречаются случаи, когда в результате пробоя выходит из строя электроника гермоблока, в этом случае необходима замена БМГ (блока магнитных головок)^[10], что по сути своей является трудоёмкой и дорогостоящей процедурой.

При механических повреждениях, таких как падение, удар, деформация, вмешательство специалиста в гермоблок необходимо, так как для выяснения возможности восстановления данных необходимо проанализировать состояние магнитных дисков. В случае возникновения концентрических, радиальных царапин или ссадин на поверхности пластин, вероятность восстановления данных уменьшается, так как для успешного считывания данных необходима идеально гладкая и ровная поверхность магнитных дисков. Также встречаются неисправности, связанные с заклиниванием шпинделя бесколлекторного электродвигателя. В этом случае специалисты прибегают к трансплантации всего пакета магнитных дисков на исправный ШД (шпиндельный двигатель), после чего осуществляется его калибровка и настройка БМГ.

Достаточно часто встречается неисправность, связанная с разрушением так называемой служебной информации накопителя. Некоторые части (далеко не все) служебной информации могут быть взяты от аналогичных накопителей и записаны в неисправный при помощи специального оборудования, которым, как правило, располагают сервисные центры, занимающиеся восстановлением данных на профессиональном уровне. Как показывает практика, попытки неквалифицированного вмешательства в структуру служебной информации накопителя, как ни прискорбно, влекут за собой окончательную и безвозвратную потерю данных.

В случае разрушения магнитного диска восстановление данных невозможно в принципе.

• С одного из жёстких дисков на борту потерпевшего крушение шаттла «Колумбия», использовавшихся для фиксации информации о проводившихся в полёте научных экспериментах, и значительно повреждённого в результате катастрофы, впоследствии удалось восстановить 90 % информации, что сделало возможным окончание 20-летнего научного исследования. Восстановление информации заняло около 5 лет^[11].